【可证明安全】公钥方案的可证明安全(一)

最新推荐文章于 2023-07-23 15:51:20 发布
最新推荐文章于 2023-07-23 15:51:20 发布
阅读量350 收藏
点赞数
分类专栏: 可证明安全 文章标签: 密码学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34266854/article/details/115557267
版权

Provable Security for Public-Key Schemes

Cryptography

secrecy of communications
practical secrecy

Shannon provides a definition of secrecy
Perfect Secrecy
The ciphertext does not reveal any(additional) information about the plaintext:no more than known before

  • a prior information about the plaintext,defined by the distribution probability of the plaintext,
  • a posterior information about the plaintext,defined by the distribution probability of the plaintext,given the ciphertext

Both distributions should be perfectly identical

Perfect Secrecy vs. Practical Secrecy
No information about the plaintext m is in the ciphertext c without the knowledge of the key k
⇒ information theory
No information about the plaintext m can be extracted
from the ciphertext c, even for a powerful adversary (unlimited time and/or unlimited power): perfect secrecy
In practice: adversaries are limited in time/power
⇒ complexity theory
Asymmetric Encryption: Intuition
Secrecy:

  • The recipient only should be able to open the message
  • No requirement about the sender

Asymmetric Encryption: Formalism
Public Key Cryptography – Diffie-Hellman (1976)

  • Bob’s public key is used by Alice as a parameter to encrypt a message to Bob
  • Bob’s private key is used by Bob as a parameter to decrypt ciphertexts

Secrecy of the private key sk ⇒ secrecy of communications
Because of pk,perfect secrecy is definitely impossible!

Provable Security

What is a Secure Cryptographic Scheme/Protocol?

  • Public-key encryption:Secrecy of the private key sk ⇒ secrecy of communications
  • What does mean secrecy? → Security notions have to be formally defined
  • How to guarantee above security claims for concrete schemes?→ Provable security

One can prove that:

if an adversary is able to break the cryptographic scheme
then one can break a well-known hard problem

General Method
Computational Security Proofs
In order to prove the security of a cryptographic scheme/protocol,one needs

  • a formal security model (security notions)
  • acceptable computational assumptions (hard problems)
  • a reduction: if one can break the security notions,
    then one can break the hard problem

Computational Assumptions
Integer Factoring

  • Given n = pq
  • Find p and q

Integer Factoring Variants(变体/变种/变形)
未解难题:RSA问题是否等价于IFP?目前仅已知(难度上)RSAP<=IFP。换句话说,RSA假设要强于IF假设。

RSA

  • Given n = pq, e and y ∈ Zn*
  • Find x such that y = xe mod n

Note that this problem is hard without the prime factors p and q, but becomes easy with them: if d = e−1 mod ϕ(n), then x = yd mod n

** Flexible RSA **

  • Given n = pq and y ∈ Zn*
  • Find x and e > 1 such that y = xe mod n

Both problems are assumed as hard as integer factoring:the prime factors are a trapdoor to find solutions

Discrete Logarithm Problem

  • Given G = a cyclic group of order q, and y ∈ G
  • Find x such that y = gx

Possible groups: G ∈ (Zp*, ×), or an elliptic curve

(Computational) Diffie Hellman Problem

  • Given G = a cyclic group of order q, and X = g x , Y =g y
  • Find Z = gxy

The knowledge of x or y helps to solve this problem (trapdoor)

Success Probabilities
For any computational problem P, we quantify the quality of an adversary A by its success probability in finding the so(量化问题的难度):

SuccP(A) = Pr[A(instance) → solution]

We quantify the hardness of the problem by the success probability of the best adversary within time t:

Succ(t) = max|A|≤t{Succ(A)}

Note that the probability space can be restricted:
some inputs are fixed, and others only are randomly chosen

Discrete Logarithm Problem

We usually fix the group G = of order q, X is randomly chosen:
在这里插入图片描述

(Decisional) Diffie Hellman Problem(DDHP)

  • Given G = a cyclic group of order q, and X = g x , Y = g y ,as well as a candidate Z ∈ G
  • Decide whether Z = gxy

In such a case, the adversary is called a distinguisher (outputs 1 bit) A good distinguisher should behave in significantly different manners according to the input distribution:

在这里插入图片描述Distribution Indistinguishability
Indistinguishabilities
Let D0 and D1, two distributions on a finite set X:

  • D0 and D1 are perfectly indistinguishable if
    在这里插入图片描述
  • D0 and D1 are statistically indistinguishable if
    在这里插入图片描述

Computational Indistinguishability
Let D0 and D1, two distributions on a finite set X:
a distinguisher A between D0 and D1
在这里插入图片描述the computational indistinguishability of D0 and D1 is
在这里插入图片描述
Theorem
在这里插入图片描述

eotteon__ireum
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
证明安全An Introduction to Provable Security
小熊划水博
07-26 4147
证明安全的目标是为“一个方案安全的”提供数学上的保证。 完美安全一般用概率上的知识来进行证明,一次一密为完美安全。 计算安全比完美安全稍弱,一般考虑PPT(概率多项式时间)能力的敌手,可以通过两种方式进行证明:Simulation-Based Approach、Game-Based Approach. Simulation-Based Approach(后续可能会再写一篇详细介绍) 思想...
论文研究-密码方案的可证明安全性注记.pdf
07-22
长期以来,人们对于可证明安全的认识存在着一些误区:可证明安全方案一定是安全的,归约证明紧的一定比归约松的更安全。总结了与方案安全性有关的几个要素,分析了密码方案证明安全的实质,纠正了以往的一些错误认识,指出可证明安全方案不一定是安全的,归约紧的方案不一定比归约松的更安全方案安全性要综合四个要素一起考虑,总的来说,攻击模型越难,攻击目标越容易,困难问题越难,而归约证明最紧的方案安全
证明安全——加密
weixin_48383957的博客
01-02 3128
安全定义 CPA-安全 定义实验 PubKA,Πeav(n)\text{PubK}^{\text{eav}}_{\mathcal{A}, \Pi}(n)PubKA,Πeav​(n): (pk,sk)←Gen(1n)(pk, sk) \leftarrow \text{Gen}(1^n)(pk,sk)←Gen(1n) 给敌手 A\mathcal{A}A 输入 pkpkpk,输出等长的明文 m0,m1m_0,m_1m0​,m1​ 选择随机的 b∈{0,1}b \in \{0,1\}b∈{0,1},计算密文 c←
【Joy of Cryptography 读书笔记】Chapter 2 可证明安全(Provable Security)基础
Vera_shsf的博客
07-18 1715
Chapter 2 可证明安全(Provable Security)基础 要想证明安全性,首先需要对安全进行定义,才能证明某一个方法能够保证什么安全性,或者说明它为什么不安全。毕竟密码学并不能解决所有安全问题。...
证明安全
hhh_2333
06-17 2945
语义安全表示为攻击者即使已知某个消息的密文,也得不出该消息的任何部分信息,即使是1比特的信息。 在完美保密性中,对于等长的消息m,m属于可被该加密算法加密的消息空间,当m用密k加密后,加密结果无法得到m的任何信息。
证明安全的可变门限代理重签名方案
03-09
在Ateniese G等人提出的代理重签名方案Sbi的基础上,利用中国剩余定理提出了一个具有短开参数和签名长度的可变门限代理重签名方案,并给出了该方案安全证明。根据可变的门限值,每个代理者都能非交互地生成相应的...
证明安全密码方案的设计与分析
12-11
证明安全密码方案的设计与分析
基于Paillier密码体制的签密方案
03-05
文中详细描述了方案的加解密过程,定义了方案安全模型,并在随机预言机模型下对方案安全性进行了证明;通过与几个经典方案的对比,分析了方案的效率,从数据表中可以看出方案效率的提升效果;通过全文的论述,可以看出...
标准模型下可证明安全的新加密方案 (2013年)
05-16
针对标准模型下抗适应性选择密文攻击语义安全加密方案存在的效率比较低或者所基于的计算假设比较强的问题,基于最近提出的d-判定性Diffie-Hellman问题构造了一个新的可证明安全加密方案方案的构造和...
密码学:可证明安全
qq_45764888的博客
07-06 1471
证明安全主要分为三个步骤:确定威胁模型;其次构造方案;给出一个正式的安全证明。可证明安全如果证出来安全,实际不一定安全。因为:①assumption很可能被攻破;②threat model可能和实际情况不一样;③proof的过程可能有问题。
密码学中的可证明安全性-杨波-扫描版
11-21
《密码学中的可证明安全性》书籍扫描版,杨波,清华大学出版社
第11届可证明安全国际会议论文集
08-09
第11届可证明安全国际会议论文集(2017年ProvSec),该会议于2017年10月23日至25日在中国西安召开。会议由陕西师范大学,西安电子科技大学和西安邮电大学共同组织。
证明安全随笔
scalers的专栏
03-23 3279
证明安全是在攻击者模型下描述的,攻击者通常拥有足够的计算资源。安全性的证明通常基于一些假设。例如,攻击者能够接触到密码系统,某些问题在计算上是困难的。可证明安全的研究有两条主线,第一是对于一个给定的直观任务,建立正确的安全定义;第二个是尽可能在一般性的假设和猜想上完成构建和证明,例如单向函数是否成立的问题。一个重要的悬而未决的问题是如何把证明建立在P≠NP的基础之上,因为目前单向函数的成立和
证明安全——对称加密
weixin_48383957的博客
01-01 2036
计算安全性 (computational security) 达不到完美安全(无信息泄露),安全性基于计算的复杂性。对于一个高效的敌手(计算的时间不很长),其攻击成功的概率很低。具体来说,有以下两种正式定义: 具体方法 如果一个加密方案,对任意至多计算时间为 ttt 的敌手,攻击成功概率不超过 ϵ\epsilonϵ,则称这个方案是 (t,ϵ)−secure(t,\epsilon)-secure(t,ϵ)−secure。 很显然,这个定义并不是很直接,因为不好描述“任意敌手”。 渐进方法 首先,渐进方法定义了
证明安全初步(Provable Security Basics)
最新发布
weixin_43466027的博客
07-23 969
证明安全初步
密码学可证明安全CCA1
密码小仙女
08-04 4368
密码学可证明安全CCA1 安全规约推荐书目: 《密码学中的可证明安全性》杨波 清华大学出版社 《Introduction to Security Reduction》Fuchun Guo;Willy Susilo;Yi Mu Springer 首先,关于密码学中的可证明安全放一张老图: 证明方法大类是两种:基于游戏的证明,基于模拟的证明; 基于游戏的证明又分为 安全规约,游戏跳跃。 安全规约部分在这本书中有比较详细的...
证明安全的隐私计算
OpenMpc的博客
09-15 1327
分享嘉宾:洪澄 阿里巴巴资深安全专家 主要从事密码学、隐私保护计算相关技术研究,带领团队在EuroCrypt、S&P(Oakland)、USENIX’SEC、SIGMOD、SIGKDD、VLDB等顶级学术会议和期刊上发表论文30余篇,获iDASH国际基因隐私计算大赛一等奖,牵头负责了安全多方计算国际标准IEEE P2842的撰写工作。导读:很多人都说过在隐私计算中要做到可证明安全。那什么是可证明安全呢?今天就给大家简单介绍一下。为什么隐私计算中会需要可证明安全?因为顾名思义,隐私计算是保护隐私的计算,那么视
证明安全理论总结
fa1c4的blog
05-03 5668
总述 现代密码学中的安全标准有3个: (1) 计算安全: 考虑攻破一个密码算法所需的计算开销. 若攻破一个密码算法的最优算法所做操作是n次, 则称该密码算法是计算安全的. 但实际上没有一个实例属于计算安全, 目前仅是一个理论概念. (2) 可证明安全: 基本思想基于数学中的反证法, 通过"规约"的方式将密码算法安全性规约到某个认的数学难题, 比如大数分解, 素数域离散对数分解问题. 若存在攻破密码算法的攻击方式, 则可以利用该方式构造出攻破数学难题的方法. 实现一个密码算法的可证明安全, 大致步骤有 给
NTRU密码体制的安全性怎么证明
06-04
目前,NTRU密码体制的安全性还没有被完全证明,但是已经有一些研究表明,该密码体制在一定条件下是安全的。 在NTRU密码体制的安全性研究中,主要采用的是基于约简算法的攻击模型。该攻击模型的基本思想是:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值